随着大数据、人工智能和区块链等数字化技术在金融领域的广泛应用,金融行业面临着复杂的安全形势,应用程序安全问题、漏洞风险层出不穷。
金融机构已成为国内外敌对势力、黑客组织、不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标。做好金融安全工作,对于保障金融稳定乃至国家稳定都有着重大意义。
金融行业面临的安全风险
软件漏洞风险
第三方工具/第三方插件风险
为增强竞争力、快速引入前沿技术,金融机构往往采取使用第三方工具、第三方插件的方式来提升开发效率,如果在开发过程中对漏洞审查不全面,将带来源代码泄漏、遭受攻击等持续性的安全风险。但即使在开发时使用的代码安全可靠,后期也可能会发现漏洞问题。
漏洞风险不容忽视
中国信息通信研究院发布的《年数字金融App安全观测报告》检测了2万余款金融行业App,超9成App存在安全漏洞。
国家互联网金融风险分析技术平台截至年10月底共计发现互联网金融网站漏洞个,其中高危漏洞占比高达63.14%;APP漏洞个,其中高危漏洞占比30.77%。
API安全风险
在金融数字化飞速发展的大背景下,API作为驱动开放共享的核心能力,已深度应用于金融行业,随着金融行业API开放数量增加带来的是激增的数据泄漏、滥用风险。
VMware的安全报告(ModernBankHeists5.0)中显示,94%的金融安全负责人表示他们经历过API攻击。
金融行业软件安全标准规范
面对日益凸显的安全问题,为不断推进资本市场信息化建设,降低行业信息系统运行风险,中国证券监督管理委员会先后推出多项行业标准规范,对安全测试提出明确要求。
《证券期货业软件测试指南软件安全测试》(JR/T—)明确提出针对证券交易所、期货交易所、证券公司、期货公司,必须采用“模糊测试”保障软件安全。
注:“?”为必选项
《证券期货业移动互联网应用程序安全检测规范》(JR/T—)提出,要通过工具扫描等方式检查移动互联网应用程序客户端是否植入了会影响移动终端操作系统和其它应用软件功能的恶意代码;在开发过程中要遵循相关编码安全要求;所使用的第三方工具和第三方插件应具有安全检测报告或安全认证。
《证券期货业网络安全等级保护基本要求》(JR/T—代替JR/T—)要求采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
金融行业案例分享
安般科技一直以来都将金融行业作为发展重心,为多家金融行业客户提供模糊测试产品与负面测试流程解决方案,帮助客户提高程序健壮性。
接下来和大家分享一则安般科技在金融行业的应用案例。
某金融软件系统提供商
该公司是金融IT的龙头企业,是国内著名的金融、证券等软件开发商之一。
背景介绍
01金融交易对安全的要求极高,在开发过程中需要进行大量测试工作来保障金融交易系统的安全性和稳定性。
02传统人工测试的方式需要工作人员编写测试用例,投入大量人力成本,且难以保证测试效率。
03测试时难以遍历各类情况,而且发现bug后定位、调试需要消耗大量时间。
测试方案
测试对象:某金融交易系统
编程语言:Linux环境下的C语言
测试工具:易恒智能模糊测试系统
测试方案:部署易恒智能模糊测试系统,通过安般共享内存ABproxy方案解决了待测系统非docker化运行问题,并结合performance模式解决了多参数及权限登录耗时长的测试场景。
测试结果
01在1小时的测试中,发现了会导致程序崩溃、致使交易系统短时间瘫痪、给用户的商业活动造成巨大损失的内存泄漏、字符溢出等Bug。
02测试时,只需少量初始输入即可全自动生成测试用例,无需人工编写,且覆盖率相较原本人工测试方案大幅提升。
03解决了开发过程中定位bug、修复bug的难题,效率远远高于人工,有利于缩短整体开发周期。
04帮助该金融软件系统提供商保证了负面测试的充分性,可以更放心的交付,减少售后问题。
安般科技助力金融行业安全发展
在国家提倡信息技术应用创新的背景下,安般科技的智能模糊测试技术和产品持续进行自我突破,推出了系列智能模糊测试产品,致力于提升国产软件的稳定性与安全性,提高国产软件的质量。
安般科技还推出了系列软件供应链安全管理产品,为客户自研代码进行安全合规管理、第三方代码安全合规审查提供助力,全面保障开源软件安全。
当下全球经济环境复杂多变,金融对社会经济的发展作用更加凸显,传统金融机构面临着更多的转型压力。安般科技将发挥在智能模糊测试领域的技术优势和先发优势,加速金融业务经营和管理数字化进程,助力金融行业高质量发展。
#软件安全#
未经允许请勿转载。